在一个拥有约 300 个客户的组织中,我们多年来一直有大约 20 个打印映射策略。这家公司已经超过 2 年没有进行过 Windows 更新了。上周末,我们被授权推出所有需要更新的 Windows 更新(经过测试)。结果发现我们错过了一个边缘情况;整个打印机部署组策略子集不再发送给客户。
政策没有改变,但它们根本没有显示出来。如果我们执行 RSOP 或 gpresult,它们甚至不会显示为未应用。我们的豁免计算机仍会正常接收和执行该政策,包括使用旧映像的新映像计算机。
运行“gpupdate /force”时,我们在受影响的计算机上收到错误,并显示以下文本:
在处理用户策略时遇到以下警告:组策略客户端扩展文件夹重定向无法应用一个或多个设置,因为更改必须在系统启动或用户登录之前处理。系统将等待组策略处理完全完成,然后才能为该用户进行下一次启动或登录,这可能会导致启动和引导性能缓慢。计算机策略更新已成功完成。
有关更详细的信息,请查看事件日志或从命令行运行 GPRESULT /H GPReport.html 以访问有关组策略结果的信息。
启用某些只能在登录期间运行的用户策略。
确定要注销吗?(Y/N)
允许其注销、重新启动等操作不会改变结果。后续执行该命令会显示相同的消息。GPResult 输出未提及打印机策略或任何故障。
这发生在 Windows 7 和 Windows 10 上。一些策略通过“部署的打印机”映射计算机,一些通过“控制面板”映射计算机。两者都不再显示。
我们现在正在逐个卸载更新,以查看发生了什么变化(共有 278 个),但我们完全不知道是什么原因导致策略甚至无法传播。我们的 Windows Server 2008 域控制器上没有任何变化,并且策略显示在所有 3 个域控制器上。
任何故障排除想法都将受到赞赏。
答案1
我的猜测是这些策略没有具有读取权限的经过身份验证的用户安全主体。
答案2
我的同事解决了这个问题。请参阅此文章:http://windowsitpro.com/patch-tuesday/update-kb3163622-breaks-group-policy-it-s-not-me-it-s-you
KB3163622 似乎破坏了安全策略的应用方式:
发生了什么:MS16-072 更改了检索用户组策略的安全上下文。此设计行为更改可保护客户的计算机免受安全漏洞的影响。在安装 MS16-072 之前,使用用户的安全上下文检索用户组策略。安装 MS16-072 之后,使用计算机的安全上下文检索用户组策略。
发生原因:如果组策略对象缺少经过身份验证的用户组的读取权限,或者您正在使用安全过滤并且缺少域计算机组的读取权限,则可能会出现此问题。
如何修复:要解决此问题,请使用组策略管理控制台 (GPMC.MSC) 并按照以下步骤之一操作:
- 在组策略对象 (GPO) 上添加具有读取权限的 Authenticated Users 组。
- 如果您使用安全过滤,请添加具有读取权限的域计算机组。